Compartilhar via


Criar um backup criptografado

Aplica-se a: SQL Server

Este artigo descreve as etapas necessárias para criar um backup criptografado usando Transact-SQL. Para obter um exemplo usando o SQL Server Management Studio, consulte Criar um backup completo de banco de dados.

Cuidado

Para restaurar um banco de dados criptografado, você precisa ter acesso ao certificado ou à chave assimétrica usada para criptografar o banco de dados. Sem o certificado ou a chave assimétrica, não é possível restaurar o banco de dados. Salve o certificado usado para criptografar a chave de criptografia do banco de dados durante o tempo que precisar salvar o backup. Para obter mais informações, consulte SQL Server Certificates and Asymmetric Keys.

Pré-requisitos

  • Armazenamento para o backup criptografado. Dependendo da opção escolhida, uma das opções é:

    • Ter um disco local ou um armazenamento com espaço suficiente para criar um backup do banco de dados.
    • Ter uma conta de armazenamento do Azure e um contêiner. Para obter mais informações, consulte Criar uma conta de armazenamento.
  • Uma chave mestra do banco de dados (DMK) para o banco de dados master, e um certificado ou uma chave assimétrica na instância do SQL Server. Para requisitos e permissões de criptografia, consulte Backup encryption.

Criar uma chave mestra de banco de dados (DMK)

Escolha uma senha para criptografar a cópia do DMK que será armazenada no banco de dados. Conecte-se ao Mecanismo de Banco de Dados, inicie um novo período de consulta, copie e cole o exemplo a seguir e selecione Executar.

Substitua <master key password> por uma senha forte e certifique-se de manter uma cópia do DMK e da senha em um local seguro.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Crie um certificado de backup

Crie um certificado de backup no banco de dados master. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Faça backup do banco de dados com criptografia

Há duas opções principais para criar um backup criptografado:

  • Fazer backup em disco
  • Fazer backup no Armazenamento do Azure

Use as etapas a seguir para criar um backup criptografado de um banco de dados em um disco local. Este exemplo usa um banco de dados de usuário chamado MyTestDB.

Especifique o algoritmo de criptografia e o certificado a ser usado. Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.

Substitua <path_to_local_backup> para um caminho local no qual o SQL Server tem permissão para gravar. Por exemplo, esse caminho pode ser D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Para obter um exemplo de como criptografar um backup protegido por um gerenciamento extensível de chaves (EKM), consulte Gerenciamento extensível de chaves usando o Azure Key Vault (SQL Server).